Sistemas Distribu´ıdos
Seguran¸caProf. Emerson Ribeiro de Mello
Instituto Federal de Santa Catarina – IFSC campus S˜ao Jos´e
mello@ifsc.edu.br http://docente.ifsc.edu.br/mello
Ataques mais frequentes e graves do ´ultimo ano
Levantamento do cert.brFor¸ca bruta no SSH e Wordpress (tamb´em em RDP, VNC, FTP, POP3)
Servidores web com CMS (Joomla, Wordpress, Drupal, etc.)
Desfigura¸c˜ao e hospedagem de malware ou p´aginas falsas (phishing)
Zumbi para gerar DDoS ou minerar bitcoins
Boletos banc´arios alterados
Governo Chinˆes - O grande irm˜ao!
Quando algu´em tenta acessar icloud.com ou live.com ´e redirecionado para um site falso do governo
Ataque do homem no meio – main-in-the-middle
A maioria dos navegadores web dispara o famoso alerta “certificado inv´alido”
Qihoo, o navegador mais popular na China, n˜ao d´a qualquer dica que tem algo errado
Ataques envolvendo DNS – no lado dos clientes
Objetivo: apontar para um servidor de DNS maliciosoEm modems/roteadores SOHO de banda larga
for¸ca bruta via telnet, ssh, backdoor do fabricante
15/10/13 - “D-Link assume backdoors” – http://goo.gl/ojrUYN
iFrame em p´aginas maliciosas para alterar o DNS destes dispositivos
1 <iframe height=0 width=0 name="cantseeme"></iframe> 2 <form name="csrf_form" action="http://192.168.1.1/goform/
AdvSetDns" method="post" target="cantseeme">
3 <img src="http://admin:admin@IP_Vitima/dnscfg.cgi?dnsPrimary =64.186.158.42&dnsSecondary=64.186.146.68&dnsDynamic=0& dnsRefresh=1" border=0 width=0 height=0>
Ataques envolvendo DNS – no lado dos servidores
Servidores DNS de ISP recursivos respondendo incorretamente como autoridade – flag aa - “authoritative answer”
4 dig @IP-DNS-PROVEDOR www.vitima.br
5 ...
DrDoS - Amplifica¸c˜ao de DNS – 53/UDP
Tamb´em tem com NTP, SNMPS´o s˜ao poss´ıveis porque as redes permitem spoofing
Internet das coisas
Carga de firmware malicioso via rede ou malware no computador do usu´ario
Modems, roteadores, etc SOHO
Phishing hospedado em CFTV da Intelbras Minera¸c˜ao de bitcoin em NAS Synology
Site falso (phishing) de um banco que orientava a instalar um aplicativo Android para gerar senhas para acesso ao banco
Uso de chaves fracas em dispositivos de rede
https://factorable.netChaves criptogr´aficas RSA e DSA (usadas no TLS ou SSH) geradas sem a aleatoriedade necess´aria
Gerador de n´umeros aleat´orios no Linux
/dev/random
Aleatoriedade de alta qualidade
Fica bloqueado se a entropia dispon´ıvel for insuficiente
/dev/urandom
Gera n´umeros pseudo-aleat´orios Nunca bloqueia
Uso de chaves fracas em dispositivos de rede
https://factorable.netDropbear – cliente e servidor SSH
Substituto do OpenSSH para ambientes com pouco poder de processamento e mem´oria – sistemas embarcados
Coment´ario no c´odigo fonte
Usaremos /dev/urandom, uma vez que o /dev/random incomoda muito
Slowloris – migrando ataque para a camada de aplica¸c˜ao
Alvo: servidor web baseado em conex˜oes, p.e. Apache HTTP Atacante n˜ao precisa de muito recurso (rede e processamento)
Honeypots e Honeynets
Honeypot
Recurso computacional projetado para ser sondado, atacado ou comprometido Baixa interatividade, pois emula sistemas operacionais e servi¸cos
Honeynet
Honeypot de alta interatividade, consiste de uma rede projetada para ser comprometida Possui outros mecanismos de controle para evitar que o sistema atacado gere ataques para outras m´aquinas
Regra de ouro
Honeypots e Honeynets
Honeypot
Recurso computacional projetado para ser sondado, atacado ou comprometido Baixa interatividade, pois emula sistemas operacionais e servi¸cos
Honeynet
Honeypot de alta interatividade, consiste de uma rede projetada para ser comprometida Possui outros mecanismos de controle para evitar que o sistema atacado gere ataques para outras m´aquinas
Regra de ouro
Honeypots e Honeynets
Caracter´ısticas Honeypot Honeynet
instala¸c˜ao f´acil dif´ıcil
manuten¸c˜ao f´acil trabalhosa
risco de comprometimento baixo alto obten¸c˜ao de informa¸c˜oes limitada extensiva necessidade de mecanismos de conten¸c˜ao n˜ao sim atacante tem acesso ao S.O real n˜ao (em teoria) sim aplica¸c˜oes e servi¸cos oferecidos emulados reais atacante pode comprometer o honeypot n˜ao (em teoria) sim
Firewall
Defini¸c˜ao convencional: Parede corta fogo
Dispositivo feito de material a prova de fogo para evitar que o fogo se espalhe de uma parte do edif´ıcio para outra
Defini¸c˜ao para sistemas computacionais
Ponto de controle que mant´em acessos n˜ao autorizados fora do per´ımetro de seguran¸ca, ao mesmo tempo possibilita acesso aos sistemas externos
Atua como uma barreira de seguran¸ca entre a rede interna e o mundo exterior
Evita que potenciais vulnerabilidades de servi¸cos sejam exploradas
Nenhum software complexo ´e 100% seguro
Firewall
Defini¸c˜ao convencional: Parede corta fogo
Dispositivo feito de material a prova de fogo para evitar que o fogo se espalhe de uma parte do edif´ıcio para outra
Defini¸c˜ao para sistemas computacionais
Ponto de controle que mant´em acessos n˜ao autorizados fora do per´ımetro de seguran¸ca, ao mesmo tempo possibilita acesso aos sistemas externos
Atua como uma barreira de seguran¸ca entre a rede interna e o mundo exterior
Evita que potenciais vulnerabilidades de servi¸cos sejam exploradas
Nenhum software complexo ´e 100% seguro
Firewall de m´aquina (ou Firewall pessoal)
Per´ımetro de seguran¸ca: A pr´opria m´aquina Analisa todo o tr´afego entrante e sainte
Uma forma de prote¸c˜ao contra spywares, m´aquinas zumbis
As regras podem seguir uma pol´ıtica de seguran¸ca da organiza¸c˜ao (mais seguro) ou o pr´oprio usu´ario pode definir suas regras (menos seguro) Exemplo: Firewall do Microsoft Windows
Firewall de m´aquina (ou Firewall pessoal)
Per´ımetro de seguran¸ca: A pr´opria m´aquina Analisa todo o tr´afego entrante e sainte
Uma forma de prote¸c˜ao contra spywares, m´aquinas zumbis
As regras podem seguir uma pol´ıtica de seguran¸ca da organiza¸c˜ao (mais seguro) ou o pr´oprio usu´ario pode definir suas regras (menos seguro) Exemplo: Firewall do Microsoft Windows
Firewall de rede
Per´ımetro de seguran¸ca: rede local da organiza¸c˜ao
Todo o tr´afego de dentro para fora, e vice-versa, dever´a passar pelo Firewall
Somente o tr´afego autorizado, definido pela pol´ıtica de seguran¸ca local, dever´a ter permiss˜ao para passar
O pr´oprio Firewall dever´a ser imune a invas˜oes
Implica na utiliza¸c˜ao de um sistema confi´avel, com um sistema operacional seguro e rodando um conjunto m´ınimo de servi¸cos
Caracter´ısticas de um firewall de rede
Ponto ´unico de controle garante uma maior seguran¸ca da rede
Mesmo que m´aquinas de clientes n˜ao estejam plenamente seguras
Um bom local para realizar Tradu¸c˜oes de Endere¸cos de Rede (NAT) e registro do tr´afego
N˜ao protege contra ataques oriundos da rede interna
N˜ao evita que m´aquinas internas fa¸cam uso de modems (3G) e se conectem `a rede externa
Firewall pessoal + Firewall rede
Se o firewall de rede protege contra ataques oriundos da rede externa, o firewall pessoal pode proteger contra ataques originados dentro da rede local
Caracter´ısticas de um firewall de rede
Ponto ´unico de controle garante uma maior seguran¸ca da rede
Mesmo que m´aquinas de clientes n˜ao estejam plenamente seguras
Um bom local para realizar Tradu¸c˜oes de Endere¸cos de Rede (NAT) e registro do tr´afego
N˜ao protege contra ataques oriundos da rede interna
N˜ao evita que m´aquinas internas fa¸cam uso de modems (3G) e se conectem `a rede externa
Firewall pessoal + Firewall rede
Se o firewall de rede protege contra ataques oriundos da rede externa, o firewall pessoal pode proteger contra ataques originados dentro da rede local
Tipos de Firewall
Filtro de pacotes (camada de rede)
Se preocupa com endere¸co IP de origem/destino, porta de origem/destino, protocolo utilizado
Geralmente combinado com roteador
Inspe¸c˜ao de estado (camada de transporte)
N˜ao filtram pacotes individuais, o filtro ´e baseado em regras de sess˜oes
Gateway no n´ıvel de aplica¸c˜ao
O tr´afego ´e analisado na camada de aplica¸c˜ao
Filtro de pacotes
Atua na camada de rede e n˜ao se preocupa com o conte´udo dos pacotes Analisa todo datagrama que passa por este e decide se ser˜ao descartados ou encaminhados
Endere¸co IP de origem e de destino Porta de origem e de destino Interface de entrada e de sa´ıda Protocolo TCP, UDP ou ICMP
Filtro de pacotes – Exemplos
Pol´ıticaM´aquinas de usu´arios n˜ao podem gerar SPAM M´aquinas internas n˜ao podem ser acessadas remotamente
Usu´arios podem navegar na web
Configura¸c˜ao do firewall
Descarte todos pacotes saintes com destino a porta 25
Descarte pacotes destinados as portas do SSH, VNC, RDesktop Permita o tr´afego sainte para as portas 80 e 443
Filtro de pacotes – Exemplos
Pol´ıticaM´aquinas de usu´arios n˜ao podem gerar SPAM
M´aquinas internas n˜ao podem ser acessadas remotamente
Usu´arios podem navegar na web
Configura¸c˜ao do firewall
Descarte todos pacotes saintes com destino a porta 25
Descarte pacotes destinados as portas do SSH, VNC, RDesktop Permita o tr´afego sainte para as portas 80 e 443
Filtro de pacotes – Exemplos
Pol´ıticaM´aquinas de usu´arios n˜ao podem gerar SPAM M´aquinas internas n˜ao podem ser acessadas remotamente
Usu´arios podem navegar na web
Configura¸c˜ao do firewall
Descarte todos pacotes saintes com destino a porta 25
Descarte pacotes destinados as portas do SSH, VNC, RDesktop
Permita o tr´afego sainte para as portas 80 e 443
Filtro de pacotes – Exemplos
Pol´ıticaM´aquinas de usu´arios n˜ao podem gerar SPAM M´aquinas internas n˜ao podem ser acessadas remotamente
Usu´arios podem navegar na web
Configura¸c˜ao do firewall
Descarte todos pacotes saintes com destino a porta 25
Descarte pacotes destinados as portas do SSH, VNC, RDesktop Permita o tr´afego sainte para as portas 80 e 443
Inspe¸c˜ao de estado
Atua na camada de transporte (camada 4) N˜ao analisa pacotes individuais
Mant´em estado de todas as conex˜oes que passam por este Consegue determinar se um pacote faz parte de uma conex˜ao existente ou de uma nova conex˜ao 7 172.18.0.4 172.18.0.10 8 | | 9 | SYN | 10 |(41143) ---> (1234)| 11 | SYN, ACK | 12 |(41143) <--- (1234)| 13 | ACK | 14 |(41143) ---> (1234)| 15 | PSH, ACK - Len: 3 | 16 |(41143) ---> (1234)| 17 | ACK | 18 |(41143) <--- (1234)| 19 | PSH, ACK - Len: 6 | 20 |(41143) <--- (1234)| 21 | ACK | 22 |(41143) ---> (1234)| 23 | FIN, ACK |
Gateway no n´ıvel de aplica¸c˜ao
Atua na camada de aplica¸c˜ao (camada 7), examinando o conte´udo dos pacotes
Permite um controle mais granular que aquele presente nos filtros de pacotes e de sess˜oes
Ex: Aos usu´arios internos n˜ao ´e permitido baixar arquivos .EXE Pode ser combinado com antiv´ırus
Consome uma carga maior de processamento se comparado a outros filtros
A conex˜ao entre clientes e servidores ´e sempre intermediada
1 Pacotes originados pelos clientes param no gateway, onde s˜ao analisados 2 Se estiverem de acordo, o gateway inicia uma conex˜ao com o servidor
Comparativo entre os tipos de firewall
Filtro de pacotes
Vantagens Com regras simples ´e poss´ıvel se proteger da maioria das amea¸cas de seguran¸ca
Desvantagens Seguran¸ca vs facilidade para usu´arios
Inspe¸c˜ao de estados
Vantagens Evita ataques mais elaborados; facilidade para usu´arios
Desvantagens Aplica¸c˜oes UDP n˜ao s˜ao atendidas
Gateway de aplica¸c˜ao
Vantagens Filtro granular baseado em conte´udo; cache; autentica¸c˜ao de usu´arios
Desvantagens Nem todas aplica¸c˜oes funcionam com este; desempenho A combina¸c˜ao destes se mostra como uma boa solu¸c˜ao
Comparativo entre os tipos de firewall
Filtro de pacotes
Vantagens Com regras simples ´e poss´ıvel se proteger da maioria das amea¸cas de seguran¸ca
Desvantagens Seguran¸ca vs facilidade para usu´arios Inspe¸c˜ao de estados
Vantagens Evita ataques mais elaborados; facilidade para usu´arios
Desvantagens Aplica¸c˜oes UDP n˜ao s˜ao atendidas
Gateway de aplica¸c˜ao
Vantagens Filtro granular baseado em conte´udo; cache; autentica¸c˜ao de usu´arios
Desvantagens Nem todas aplica¸c˜oes funcionam com este; desempenho A combina¸c˜ao destes se mostra como uma boa solu¸c˜ao
Comparativo entre os tipos de firewall
Filtro de pacotes
Vantagens Com regras simples ´e poss´ıvel se proteger da maioria das amea¸cas de seguran¸ca
Desvantagens Seguran¸ca vs facilidade para usu´arios Inspe¸c˜ao de estados
Vantagens Evita ataques mais elaborados; facilidade para usu´arios
Desvantagens Aplica¸c˜oes UDP n˜ao s˜ao atendidas Gateway de aplica¸c˜ao
Vantagens Filtro granular baseado em conte´udo; cache; autentica¸c˜ao de usu´arios
Desvantagens Nem todas aplica¸c˜oes funcionam com este; desempenho A combina¸c˜ao destes se mostra como uma boa solu¸c˜ao
Comparativo entre os tipos de firewall
Filtro de pacotes
Vantagens Com regras simples ´e poss´ıvel se proteger da maioria das amea¸cas de seguran¸ca
Desvantagens Seguran¸ca vs facilidade para usu´arios Inspe¸c˜ao de estados
Vantagens Evita ataques mais elaborados; facilidade para usu´arios
Desvantagens Aplica¸c˜oes UDP n˜ao s˜ao atendidas Gateway de aplica¸c˜ao
Vantagens Filtro granular baseado em conte´udo; cache; autentica¸c˜ao de usu´arios
Desvantagens Nem todas aplica¸c˜oes funcionam com este; desempenho
Comparativo entre os tipos de firewall
Filtro de pacotes
Vantagens Com regras simples ´e poss´ıvel se proteger da maioria das amea¸cas de seguran¸ca
Desvantagens Seguran¸ca vs facilidade para usu´arios Inspe¸c˜ao de estados
Vantagens Evita ataques mais elaborados; facilidade para usu´arios
Desvantagens Aplica¸c˜oes UDP n˜ao s˜ao atendidas Gateway de aplica¸c˜ao
Vantagens Filtro granular baseado em conte´udo; cache; autentica¸c˜ao de usu´arios
Estrat´egias de configura¸c˜ao
Estrat´egia Descri¸c˜ao
Local Instalado em cada m´aquina individual Roteador/Firewall Uma ´unica m´aquina para roteamento e
filtra-gem de pacotes
Firewall com 2 interfaces Intermedia a conex˜ao entre a LAN e o rotea-dor
Firewall com subredes M´aquinas da rede interna s˜ao alocadas em diferentes subredes
Estrat´egia: Esta¸c˜ao basti˜ao
Uma esta¸c˜ao especial com poucas aplica¸c˜oes em execu¸c˜ao, projetada e configurada para resistir a ataques
Servidores proxy (SOCKS, HTTP, RTP, etc.)
Somente pacotes oriundos e destinados a esta m´aquina podem passar pelo firewall
Organiza¸c˜ao da rede
1 Somente com esta¸c˜oes de
trabalho
Residencias e pequenas empresas
2 Esta¸c˜oes e servidores internos
Servidor de impress˜ao, arquivos, etc.
3 Esta¸c˜oes, servidores internos e
externos
WWW, SMTP, DNS, POP, IMAP, etc.
Como oferecer servi¸cos externos sem que isto resulte em amea¸cas para a rede interna?
Organiza¸c˜ao da rede
1 Somente com esta¸c˜oes de
trabalho
Residencias e pequenas empresas
2 Esta¸c˜oes e servidores internos
Servidor de impress˜ao, arquivos, etc.
3 Esta¸c˜oes, servidores internos e
externos
WWW, SMTP, DNS, POP, IMAP, etc.
Como oferecer servi¸cos externos sem que isto resulte em amea¸cas para a rede interna?
Organiza¸c˜ao da rede
1 Somente com esta¸c˜oes de
trabalho
Residencias e pequenas empresas
2 Esta¸c˜oes e servidores internos Servidor de impress˜ao, arquivos, etc.
3 Esta¸c˜oes, servidores internos e
externos
WWW, SMTP, DNS, POP, IMAP, etc.
Como oferecer servi¸cos externos sem que isto resulte em amea¸cas para a rede interna?
Organiza¸c˜ao da rede
1 Somente com esta¸c˜oes de
trabalho
Residencias e pequenas empresas
2 Esta¸c˜oes e servidores internos Servidor de impress˜ao, arquivos, etc.
3 Esta¸c˜oes, servidores internos e
externos
WWW, SMTP, DNS, POP, IMAP, etc.
DMZ – Zona desmilitarizada
Segmento de rede tratado como zona neutra entre faixas em conflito (rede local e Internet)
Local ideal para disponibilizar servi¸cos que podem ser acessados tanto por m´aquinas da rede local como da rede externa (Internet)
Exemplo: DNS, WWW, SMTP
Parte-se do pressuposto que as m´aquinas ali presentes seguem a risca a pol´ıtica de seguran¸ca e est˜ao sempre com as ´ultimas atualiza¸c˜oes de seguran¸ca
Roda um conjunto m´ınimo de servi¸cos Principal objetivo
Proteger a rede interna contra ataques oriundos dos servidores externos, caso estes sejam comprometidos
Replicar servi¸cos pela DMZ e rede local
Replicar servi¸cos pela rede local e DMZ garante que se o servidor na DMZ for comprometido, isto n˜ao ir´a afetar os usu´arios da rede local
Material para conscientiza¸c˜ao sobre seguran¸ca
Cartilha de Seguran¸ca para Internet
http://cartilha.cert.br
Site Antispam.br
http://antispam.br
Portal InternetSegura.br